Parallèlement au Covid, qui a fragilisé les équipes et les sécurités, les cybercriminels s’organisent en filières efficaces. Ils affichent à leur tableau de chasse des Etats, des institutions (Hôpitaux, Mairies), mais aussi des enseignes du retail. Et les exemples sont nombreux : Lise Charmel en redressement judiciaire après une cyber-attaque, mise à l’arrêt de l’e-commerce chez Media Markt, TPE hackés chez Coop en Suède, vols de données clients chez Sephora… Le chantage au « déni de service » qui submerge les sites e-commerce d’un flot de requêtes, générés par des bots (automates) est aussi courant. Plusieurs enseignes ont été contraintes de verser des rançons, pour obtenir l’antidote à des virus bloquant leurs réseaux informatiques et leurs entrepôts.
.
« Tout le monde peut être touché, surtout les TPE et PME moins équipées pour résister », soutient Jean-Jacques Latour, responsable Expertise de cybermalveillance.gouv.fr, un groupement d’intérêt public créé il y a 4 ans pour accompagner les victimes des cybercriminels. « Le retail et l’e-commerce sont particulièrement visés, car les cybercriminels recherchent les cibles les plus lucratives. De ce point de vue, les retailers cochent beaucoup de cases : ils gèrent d’importantes bases de données clients, ils ont investi dans leur image de marque et leur réputation, et leurs sites offrent une porte d’entrée digitale aux spécialistes de l’arnaque et du chantage à distance ».
.
Selon Guillaume Rablat, Directeur en charge des sujets Cyber chez KPMG France, « Les dégâts peuvent être catastrophiques ». Ils sont de deux ordres : les pertes dues au blocage de l’activité et au chantage (rançongiciel) et les risques d’amende, en cas de faille sur la protection des données client. Parfois, la survie même de l’entreprise est en jeu comme pour Lise Charmel (600 magasins de lingerie en France, 1.400 à l’étranger). Victime d’une cyberattaque massive fin 2019, l’entreprise a connu un « black-out » d’un mois, pendant lequel plus rien ne fonctionnait, ni au siège, ni dans les magasins ou les canaux en ligne, mais aussi la création, les achats, la logistique, jusqu’aux emails. Il a fallu 9 mois aux ateliers de création pour retrouver leur pleine capacité. En novembre 2021, MediaMarkt (580 magasins d’électronique et électroménager), il s’est vu demander US$ 50 millions en bitcoins par le groupe international de pirate connu sous le nom de Hive en novembre 2021.
.
Par ailleurs, une autre épée de Damoclès pèse sur la tête des dirigeants du retail. En janvier 2021, Carrefour en a fait les frais : ses entités Carrefour France et Carrefour Banque se sont vu infliger des amendes de € 2,250 millions et de € 800.000 respectivement par la CNIL. La commission lui reprochait notamment d’avoir stocké des données (28 millions) de clients inactifs, pendant trop longtemps (jusqu’à 10 ans dans le cadre du programme de fidélité). « Nombreux sont les clients qui utilisent le même mot de passe d’un site à l’autre. Une fois éventés, ces mots de passe sont testés en masse par des robots sur d’autres sites », précise Guillaume Rablat de KPMG. Et finissent par permettre d’autres arnaques, par contagion. « Le règlement européen RGPD sur la protection des données, mis en application en France en 2018, reste incomplet sur ce qu’on appelle en anglais, la « privacy », précise Guillaume Rablat de KPMG. Les régulateurs sont en train d’en préciser les règles pratiques d’application ».
.
Bureau Vallée (370 magasins de fournitures de bureau) a aussi fait face au détournement des data clients. Pendant deux mois, du 26 mars au 26 mai 2020, le groupe a été victime d’un stratagème dit du « Web Skimming » ou « Magecart » sur la partie de son site Web dédiée au paiement. Celle-ci a « conduit à la mise en place frauduleuse d’un système de duplication des informations des cartes bancaires au moment d’un achat depuis notre site », indiquait la société en 2020. En apparence tout se passait normalement pour les consommateurs comme pour l’enseigne. Mais les pirates en profitaient pour récupérer discrètement les codes de carte bleue, susceptibles d’être réutilisés pour des achats en ligne ou pour créer des clones de CB. L’enseigne a dû opter pour une communication de crise, en mettant en garde ses clients : « Pensez à vérifier vos relevés, à contacter votre banque en cas de transactions anormales et probablement aussi à changer de carte bancaire ! ».
.
Dans ce contexte, nombre d’enseignes s’efforcent de développer leur sécurité informatique. En 2022, la part des dépenses informatiques qui doit être consacrée à la protection contre la cybercriminalité est de l’ordre de 10 % du budget IT. « Pour un géant du Web comme Cdiscount, il faudra parfois aller jusqu’à 25% du budget IT alors qu’une PME ne pourra pas s’offrir de tels montants, ni des spécialistes de la cybersécurité en interne, note Jean-Jacques Latour. Mais si l’on met en pratique le B.A.BA en la matière (mise à jour des logiciels, mots de passe solides, sauvegardes efficaces et testées), on élimine 80 % des risques. Et cela ne coûte que € 1000 à € 5000 par exemple pour un audit, parmi les prestataires recensés par le site cybermalveillance.gouv.fr.
.
Selon Guillaume Rablat de KMPG, les retailers n’ont pas le même degré de maturité en termes de cybersécurité que les banques ou les assurances. « Pourtant la transformation numérique dans laquelle ils sont engagés ne pourra pas se faire sans ce volet sécurité », explique-t-il. Sans garantir le risque zéro, KPMG conseille 6 bonnes pratiques :
1) Mettre en place une véritable gouvernance qui parte de la direction générale et irrigue toute l’entreprise. Avec une assurance cyber par exemple, voire des équipes dédiées pour les plus grosses entreprises.
2) Développer une formation à la cybersécurité en interne. Des mesures simples, comme celles empêchant les clés USB « infectées » de communiquer avec le réseau, permettent de couper court à maintes menaces.
3) Faire un inventaire des Systèmes d’Information. Où sont mes serveurs ? Quelles en sont les faiblesses ? La complexité grandissante des SI, parfois hébergés dans le Cloud, parfois non, facilite la tâche des cybercriminels.
4) Prévoir un plan de continuité de l’activité. Comment réagir en cas de crise ? Quelles compétences sont nécessaires en interne ? Il faut prévoir par exemple de porter plainte, de faire une déclaration à la CNIL, etc.
5) Sécuriser le parc informatique en appliquant les patchs de sécurité, en protégeant les accès utilisateurs.
6) Assurer une sauvegarde hors ligne (c’est-à-dire déconnecté du réseau attaqué) et des restaurations.
.
Dans le retail, rares sont encore les entreprises qui osent s’exprimer sur leurs mésaventures. Pourtant, une bonne communication de crise avec un « juste niveau de transparence » est indispensable pour conserver la confiance des clients. Il vaut mieux prendre les devants, estime Olivier Piquet, le directeur général de Lise Charmel. « Nous avons été l’une des rares marques à communiquer sur le sujet, pour la simple raison qu’il ne faut pas en rougir : une cyberattaque n’est pas une maladie, cela fait partie des risques du monde moderne, comme pourrait l’être un risque incendie. Les entreprises doivent y être préparées : même si quand cela arrive, cela fait l’effet d’un coup de massue ».
.
Faits récents
- Septembre 2019. Sephora (2600 magasins) : Fuite de données clients. Les informations concernant 3,7 millions de clients en Asie, en Australie et en Nouvelle-Zélande se sont retrouvées mises en vente sur le « dark web »
- Juillet 2021. Le groupe suédois Coop (800 magasins) : Fermeture de magasins. « Un de nos sous-traitants a été touché par une attaque informatique et pour cette raison nos caisses ne fonctionnent plus », indique un communiqué du groupe
- Avril 2021. Intersport (5800 magasins) et Claire’s (2300 magasins) : Attaques de Web Skimming. Des pirates informatiques ont caché un script malveillant sur certains sites web locaux des deux sociétés. Celui-ci enregistrait les détails des cartes de paiement saisis dans les formulaires de paiement.
- Septembre 2020. Monsieur Bricolage (850 magasins) : Rançongiciel. Pendant une semaine, le siège de la chaîne de grande distribution a été paralysé par un malware. L’entreprise a déposé plainte. Aucune donnée n’a été dérobée.
Régine Eveno et Sophie Baqué